Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 25-04-2013 06:10:08

Nasedo
Membre
Distrib. : Debian Squeeze 6.0.7
Noyau : 3.2.13 ipv6-64
(G)UI : GNOME
Inscription : 25-04-2013

Problème ProFTPd et répertoire Apache /var/www

Bonjour à tous et à toute,

Je viens vous demander un coup de pouce sur un problème qui m'embête sévèrement. Depuis plusieurs jours je m'arrache les cheveux pour trouver une solution de google en forum et de forum en google... C'est surement un solution très simple, mais je préfère faire appel à une personne ou des personnes plus expérimentées pour trouver une solution à mon problème.

Je m'explique, je travaille actuellement sur un serveur dédié de chez OVH sous Debian 6. J'ai configuré pas mal de chose comme un serveur LAMP avec les dernières versions... mais aussi BIND9 (au passage qui fonctionne très bien) et enfin un serveur FTP du nom de ProFTPd. Pour vous expliquer plus simplement j'ai actuellement deux noms de domaines de configurés sur mon serveur DNS Bind (Exemple: Domaine1.fr et Domaine2.fr). Ils pointent vers /var/www/Domaine1 et /var/www/Domaine2. Le propriétaire des répertoires est www-data (utilisateur d'Apache) avec ProFTPd j'ai configuré dans proftpd.conf les informations ci-dessous:

DefaultRoot /var/www MyUSER1


(l'utilisateur MyUSER1 pointe vers /var/www)

J'ai aussi rajouté MyUSER1 dans le groupe de www-data.

J'en viens à mon problème, si je me connecte via FTP avec MyUSER1 mes fichiers et dossiers uploadés seront plus lisible par www-data à cause des droits.
Pour le moment je fais "chown -R MyUSER1:www-data" lorsque j'upload des fichiers sur le FTP, puis je refais un "chown -R www-data:www-data" pour rendre mon site web visible sur internet.

Avez-vous une solution pour remédier à mon problème sans compromettre la sécurité du serveur?

J'aimerais aussi avoir deux utilisateurs.

L'un MyUSER1 pour ce connecter vers /var/www/Domaine1
L'autre MyUSER2 pour ce connecter vers /var/www/Domaine2

Si vous avez une solution je prends smile et n'hésitez pas à m'expliquer le fonctionnement.

A bientôt et merci d'avance.

Hors ligne

#2 25-04-2013 08:59:29

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : Problème ProFTPd et répertoire Apache /var/www

Nasedo a écrit :


Pour le moment je fais "chown -R MyUSER1:www-data" lorsque j'upload des fichiers sur le FTP, puis je refais un "chown -R www-data:www-data" pour rendre mon site web visible sur internet.

Avez-vous une solution pour remédier à mon problème sans compromettre la sécurité du serveur?

J'aimerais aussi avoir deux utilisateurs.

L'un MyUSER1 pour ce connecter vers /var/www/Domaine1
L'autre MyUSER2 pour ce connecter vers /var/www/Domaine2

.



bonjour et pourquoi pas de façon permanente :

chown -R MyUSER1:www-data /var/www/Domaine1
chown -R MyUSER2:www-data /var/www/Domaine2

  et donner les droits d' écriture/lecture au à ww-data:
chmod -R g+rwx /var/www      (ce qui fera un droit 775)
et éventuellement  chmod -R o-rwx /var/www/site       (770)

si les autres que ton User ou www-data sont à 0 ou 5, la sécurité du serveur n' est pas compromise.

Dernière modification par nikau (25-04-2013 09:14:05)

Hors ligne

#3 25-04-2013 17:11:20

Nasedo
Membre
Distrib. : Debian Squeeze 6.0.7
Noyau : 3.2.13 ipv6-64
(G)UI : GNOME
Inscription : 25-04-2013

Re : Problème ProFTPd et répertoire Apache /var/www

Salut, et merci de ta réponse.

chmod -R g+rwx /var/www      (ce qui fera un droit 775)



Tu es sur qu'il n'y aura aucun risque de donner les droits d'écriture et lecture à www-data?

N'avez vous pas une autre solution?

Au passage, j'ai quand même testé pour voir et cela fonctionne très bien, mais de mettre 755 sur un dossier (cela veux dire que les permissions publiques ont le droit d'Exécuter, et cela ne risque pas a compromettre ma sécurité?)


Si je fais la même chose que ce que tu viens de me dire mais avec les droits 705 pour les dossier et 644 pour les fichiers?

Dernière modification par Nasedo (25-04-2013 17:45:27)

Hors ligne

#4 25-04-2013 21:09:26

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : Problème ProFTPd et répertoire Apache /var/www

Nasedo a écrit :

Salut, et merci de ta réponse.

chmod -R g+rwx /var/www      (ce qui fera un droit 775)



Tu es sur qu'il n'y aura aucun risque de donner les droits d'écriture et lecture à www-data?

N'avez vous pas une autre solution?

Au passage, j'ai quand même testé pour voir et cela fonctionne très bien, mais de mettre 755 sur un dossier (cela veux dire que les permissions publiques ont le droit d'Exécuter, et cela ne risque pas a compromettre ma sécurité?)


Si je fais la même chose que ce que tu viens de me dire mais avec les droits 705 pour les dossier et 644 pour les fichiers?



ce n' est pas moins sécurisé que ce qui était avant, (dans la mesure que les mots de passe des User sont fiables)
Je t' invite à aller voir sur le wiki les notions propriété  (user, groupe, autres) avec les droits respectifs.
non pas en 705 car le deuxième chiffre correspond à www-data, et forcément il doit avoir les droits écritures/lectures, sinon pas de surf possible.

Hors ligne

#5 25-04-2013 21:33:14

Nasedo
Membre
Distrib. : Debian Squeeze 6.0.7
Noyau : 3.2.13 ipv6-64
(G)UI : GNOME
Inscription : 25-04-2013

Re : Problème ProFTPd et répertoire Apache /var/www

D'accord je te remercie.

une dernier question pour mieux comprendre les permissions. J'ai un site hébergé chez OVH mais en mutualisé les dossier sont en 705 et les fichier en 604, pourquoi ce choix chez OVH? OVH n'aurait pas de groupe juste un propriétaire si j'ai bien compris? Une aute question pour l'exécution (Lire, écrire et exécuter) si le publiques a le droit d’exécuté un bot pourrait alors lancer un script sur le serveur non?

Hors ligne

#6 25-04-2013 22:05:47

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : Problème ProFTPd et répertoire Apache /var/www

Nasedo a écrit :

D'accord je te remercie.

une dernier question pour mieux comprendre les permissions. J'ai un site hébergé chez OVH mais en mutualisé les dossier sont en 705 et les fichier en 604, pourquoi ce choix chez OVH? OVH n'aurait pas de groupe juste un propriétaire si j'ai bien compris? Une aute question pour l'exécution (Lire, écrire et exécuter) si le publiques a le droit d’exécuté un bot pourrait alors lancer un script sur le serveur non?



dans l idéal et l' absolu,  le public doit avoir le droit à rien --> 0 il n' a rien à faire sur  ton serveur. celui qui surf sur ton site ne sera pas public mais www-data.

pour comprendre je résume le tout: 

r   4
w  2
x   1

lire        =4
écrire   =2
exécutable=1
tu fais l' addition et tu as la correspondance. exemple 6 = lecture + écriture
                                                                                           7=lecture + écriture + exécuter

les répertoires doivent être obligatoirement exécutables sinon inaccessibles , les fichiers non (hormis les scripts)
on a défini  l' ordre ainsi: 770   ,  le premier 7  correspond au User, le 2ème 7 à www-data et le 0 aux autres . 

705 et 604  on en effet aucun droits sur le groupe, ce qui ne serait pas bon dans pour ton site puisqu' on a affecté www-data au groupe et le User au premier propriétaire, ( on aurait pu faire le contraire: www-data en premier et User en groupe.)

Hors ligne

#7 26-04-2013 01:40:57

Nasedo
Membre
Distrib. : Debian Squeeze 6.0.7
Noyau : 3.2.13 ipv6-64
(G)UI : GNOME
Inscription : 25-04-2013

Re : Problème ProFTPd et répertoire Apache /var/www

Merci pour tes exemples et explications.

Je résume ce que j'ai réalisé:

chown -R MyUSER1:www-data /var/www/MyUSER1




chown -R MyUSER2:www-data /var/www/MyUSER2



Modification du fichier .conf de ProFTPd:

nano /etc/proftpd/proftpd.conf




# Use this to jail all users in their homes

DefaultRoot /var/www/MyUSER1 MyUSER1
DefaultRoot /var/www/MyUSER2 MyUSER2


(/var/www/votre_ répertoire_du_site votre_utilisateur)


chmod -R g+rwx /var/www    

 
(775)

chmod -R o-rwx /var/www/MyUSER1

     
(770)

chmod -R o-rwx /var/www/MyUSER2

       
(770)

Redémarrage de ProFTPd:

/etc/init.d/proftpd restart



Après avoir testé cela fonctionne correctement, ma seule question est la suivante:

Info à savoir: MyUSER1 = 1003 et www-data = 33

Pourquoi sur sur le client Filezilla lorsque je transfert des fichiers, les fichiers ne sont plus en 1003:33 mais en 1003:1003 (Propriétaire:Groupe) ?

Je devrais logiquement avoir 1003 pour le Propriétaire et 33 pour le groupe, non?

Hors ligne

#8 26-04-2013 08:10:04

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : Problème ProFTPd et répertoire Apache /var/www

parceque sur un système Unix, chaque fois qu' un utilisateur créait un répertoire ou un fichier, si le groupe n' est pas spécifié, alors cela sera son propre groupe qui sera attribué.

il faut utiliser pour cela le Setgid    (et non pas le setuid)  http://fr.wikipedia.org/wiki/Setuid

exemple:
chmod g+s /var/www/site1

par contre je crois que filezilla met  les droits par défaut en 600, tu peux automatiser avec la cron:
ce qui donnera:
# crontab -e
*/30 * * * *  /bin/chmod -R g+rwx /var/www/site1

dans cette exemple cron remettra le groupe en '7'  toutes les demi/heure du site1

Dernière modification par nikau (26-04-2013 08:10:42)

Hors ligne

#9 26-04-2013 08:24:04

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Problème ProFTPd et répertoire Apache /var/www

Akeu ce post est magnifique !
Il est donc ajouté derechef en référence dans le wiki df là :
Des droits sur un serveur...

cool

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#10 26-04-2013 12:48:55

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : Problème ProFTPd et répertoire Apache /var/www

smolski a écrit :

Akeu ce post est magnifique !
Il est donc ajouté derechef en référence dans le wiki df là :
Des droits sur un serveur...

cool



big_smile  illustrer le wiki avec des exemples du forum..préviens la prochaine fois pour plus d' applications dans la rédaction et l' orthographe...

Hors ligne

#11 26-04-2013 12:52:55

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Problème ProFTPd et répertoire Apache /var/www

nikau, tu peux demander à t'inscrire et tu deviens rédac du wiki et tu corriges toi-même le bazard !
Elle est pas belle la vie ? wink

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#12 26-04-2013 13:42:54

Nasedo
Membre
Distrib. : Debian Squeeze 6.0.7
Noyau : 3.2.13 ipv6-64
(G)UI : GNOME
Inscription : 25-04-2013

Re : Problème ProFTPd et répertoire Apache /var/www

Merci encore Nikau pour tes explications et merci Smolski pour avoir rajouté mon post à tes tuto smile Mais le mérite revient seulement à Nikau, car moi je suis juste là pour pauser les bonnes questions pour les internautes smile

J'ai encore une question après avoir fait un chmod

chmod g+s /var/www/site1



mes dossiers et seulement mes dossiers sont en droits d'accès (02770) sur filezilla au lieu de (770) si je fais "Modification des attributs du fichier le nombre est 770 sans rien modifier je clique sur OK et là cela revient en (770), avez vous une idée?

Hors ligne

#13 26-04-2013 13:50:03

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Problème ProFTPd et répertoire Apache /var/www

Nasedo, sans les uns et les autres membres df, df n'est pas.

wink

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#14 26-04-2013 14:52:05

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : Problème ProFTPd et répertoire Apache /var/www

Nasedo a écrit :



mes dossiers et seulement mes dossiers sont en droits d'accès (02770) sur filezilla au lieu de (770) si je fais "Modification des attributs du fichier le nombre est 770 sans rien modifier je clique sur OK et là cela revient en (770), avez vous une idée?




le Setgid ne concerne que les répertoires, les fichiers créés dans ceux-cis  hériteront du groupe mais garderont leurs droits, pourquoi que 770 devrait changer tant qu' il n' a pas été modifié

Dernière modification par nikau (26-04-2013 14:53:34)

Hors ligne

#15 26-04-2013 17:09:33

Nasedo
Membre
Distrib. : Debian Squeeze 6.0.7
Noyau : 3.2.13 ipv6-64
(G)UI : GNOME
Inscription : 25-04-2013

Re : Problème ProFTPd et répertoire Apache /var/www

nikau a écrit :

Nasedo a écrit :



mes dossiers et seulement mes dossiers sont en droits d'accès (02770) sur filezilla au lieu de (770) si je fais "Modification des attributs du fichier le nombre est 770 sans rien modifier je clique sur OK et là cela revient en (770), avez vous une idée?




le Setgid ne concerne que les répertoires, les fichiers créés dans ceux-cis  hériteront du groupe mais garderont leurs droits, pourquoi que 770 devrait changer tant qu' il n' a pas été modifié



J'ai peut être mal formulé ma question, je voulais savoir que signifie le "02" de (02770), car lorsque je crée un dossier j'ai un "02" qui se rajoute devant 770 dans filezilla... avant de faire un Setgid je n'avais pas ça...

893684droits.png

Hors ligne

#16 26-04-2013 17:47:47

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : Problème ProFTPd et répertoire Apache /var/www

il est récursif pour les dossiers crées puisqu' ils sont susceptibles de donner eux aussi le même groupe.
indicateur du setgid tout simplement,   si tu fais chmod 02770 repertoire tu arriveras au  même résultat.

Dernière modification par nikau (26-04-2013 17:51:59)

Hors ligne

#17 27-04-2013 17:29:36

Nasedo
Membre
Distrib. : Debian Squeeze 6.0.7
Noyau : 3.2.13 ipv6-64
(G)UI : GNOME
Inscription : 25-04-2013

Re : Problème ProFTPd et répertoire Apache /var/www

Merci pour ton aide Nikau, je vais faire un résumer dans les prochains jours pour créer 2 sites dans var/www/ avec deux répertoires différent pour deux FTP et leurs bon droits.

A bientôt! wink

Hors ligne

Pied de page des forums